Ortaçağ kaleleri, titiz tasarımları sayesinde yüzyıllar boyunca zaptedilemez kaleler olarak kaldı. Dijital çağa hızla ilerleyin ve bu ortaçağ bilgeliği hâlâ siber güvenlikte yankılanıyor. Saldırılara dayanacak stratejik yerleşimlere sahip kaleler gibi, Derinlemesine Savunma stratejisi de bunun modern karşılığıdır; stratejik yedekliliğe ve pasif ve aktif güvenlik kontrollerinin bir karışımına sahip çok katmanlı bir yaklaşım.
Ancak gelişen siber tehdit ortamı, en güçlendirilmiş savunmalara bile meydan okuyabilir. Derinlemesine Savunma stratejisinin yaygın şekilde benimsenmesine rağmen siber tehditler devam ediyor. Neyse ki Derinlemesine Savunma stratejisi, her katmandaki her güvenlik kontrolünü değerlendiren ve geliştiren otomatik bir araç olan İhlal ve Saldırı Simülasyonu (BAS) kullanılarak artırılabilir.
Derinlemesine Savunma: Katmanlarla Yanlış Güvenlik Anlayışı
Çok katmanlı savunma olarak da bilinen derinlemesine savunma stratejisi, 2000’li yılların başından itibaren kuruluşlar tarafından yaygın olarak benimsenmiştir. Düşmanların değerli varlıkları tehlikeye atmak için birden fazla savunma katmanını aşması gerektiği varsayımına dayanmaktadır. Hiçbir tekil güvenlik kontrolü çok çeşitli siber tehditlere karşı kusursuz koruma sağlayamayacağından, derinlemesine savunma dünya çapındaki kuruluşlar için bir norm haline geldi. Ancak bugün her kuruluş bu stratejiyi kullanıyorsa güvenlik ihlalleri neden hâlâ bu kadar yaygın?
Sonuçta birincil neden, katmanlı çözümlerin her zaman amaçlandığı gibi çalışacağı varsayımından kaynaklanan yanlış bir güvenlik duygusudur. Ancak kuruluşların çok katmanlı savunmalara tamamen güvenmemeleri gerekir; aynı zamanda yeni saldırı vektörlerine, olası yapılandırma sapmalarına ve güvenlik kontrollerini yönetmenin karmaşık doğasına karşı da güncel kalmaları gerekir. Gelişen siber tehditler karşısında savunma katmanlarına duyulan kanıtlanmamış güven, gerçekleşmeyi bekleyen bir güvenlik ihlalidir.
Derinlemesine Savunma Stratejisini Mükemmelleştirme
Derinlemesine savunma stratejisi, siber tehditleri önlemek ve tespit etmek için farklı katmanlarda birden fazla güvenlik kontrolünün kullanılmasını teşvik eder. Birçok kuruluş bu katmanları dört temel katman etrafında modelliyor: Ağ, Ana Bilgisayar, Uygulama ve Veri Katmanları. Güvenlik kontrolleri, sağlam bir güvenlik duruşu sağlamak amacıyla bir veya daha fazla katman için yapılandırılır. Tipik olarak kuruluşlar, Ağ Katmanında IPS ve NGFW çözümlerini, Ana Bilgisayar Katmanında EDR ve AV çözümlerini, Uygulama Katmanında WAF çözümlerini, Veri Katmanında DLP çözümlerini ve birden fazla katmanda SIEM çözümlerini kullanır.
Bu genel yaklaşım neredeyse tüm derinlemesine savunma uygulamaları için geçerli olsa da, güvenlik ekipleri güvenlik çözümlerini kolayca dağıtıp bunları unutamaz. Aslında göre Picus’tan Mavi Rapor 2023Siber saldırıların %41’i ağ güvenlik kontrollerini atlıyor. Günümüzde etkili bir güvenlik stratejisi, tehdit ortamının sağlam bir şekilde anlaşılmasını ve güvenlik kontrollerinin gerçek siber tehditlere karşı düzenli olarak test edilmesini gerektirir.
Otomasyonun Gücünden Yararlanmak: BAS’ı Derinlemesine Savunma Stratejisine Tanıtmak
Bir kuruluşun tehdit ortamını anlamak, çok sayıda siber tehdit nedeniyle zor olabilir. Güvenlik ekipleri her gün yüzlerce tehdit istihbaratı raporunu incelemeli ve her tehdidin kuruluşlarını hedef alıp alamayacağına karar vermelidir. Bunun da ötesinde, derinlemesine savunma stratejilerinin performansını değerlendirmek için güvenlik kontrollerini bu tehditlere karşı test etmeleri gerekiyor. Kuruluşlar her bir istihbarat raporunu manuel olarak analiz edebilse ve geleneksel bir değerlendirme (sızma testi ve kırmızı ekip oluşturma gibi) yürütebilse bile, bu çok fazla zaman ve çok fazla kaynak gerektirecektir. Uzun lafın kısası, günümüzün siber tehdit ortamında otomasyon olmadan gezinmek imkansızdır.
Güvenlik kontrolü testi ve otomasyonu söz konusu olduğunda, diğerleri arasında belirli bir araç öne çıkıyor: İhlal ve Saldırı Simülasyonu (BAS). BAS, 2017 yılında Gartner’ın Tehditle Karşılaşan Teknolojiler Hype Döngüsü’nde ilk kez ortaya çıkışından bu yana, birçok kuruluş için güvenlik operasyonlarının değerli bir parçası haline geldi. Olgun bir BAS çözümü, güvenlik ekiplerinin güvenlik kontrollerini değerlendirmeleri için otomatik tehdit istihbaratı ve tehdit simülasyonu sağlar. BAS çözümleri derinlemesine savunma stratejisiyle entegre edildiğinde, güvenlik ekipleri, kötü niyetli aktörlerin bu açıkları istismar etmesinden önce potansiyel güvenlik açıklarını proaktif bir şekilde tespit edip azaltabilir. BAS, ağ, ana bilgisayar, uygulama ve veri katmanlarında birden fazla güvenlik kontrolüyle çalışarak kuruluşların güvenlik duruşlarını bütünsel olarak değerlendirmelerine olanak tanır.
Yüksek Lisans Destekli Siber Tehdit İstihbaratı
Otomasyonu derinlemesine savunma stratejisine dahil ederken ilk adım, siber tehdit istihbaratı (CTI) sürecini otomatikleştirmektir. Yüzlerce tehdit istihbaratı raporunun operasyonel hale getirilmesi, ChatGPT, Bard ve LLaMA gibi derin öğrenme modelleri kullanılarak otomatikleştirilebilir. Modern BAS araçları, kendi Yüksek Lisans destekli CTI’larını bile sağlayabilir ve kuruluşun tehdit ortamını analiz etmek ve takip etmek için harici CTI sağlayıcılarıyla entegre olabilir.
Ağ Katmanında Saldırıların Simüle Edilmesi
Temel bir savunma hattı olarak ağ katmanı, genellikle saldırganlar tarafından sızma girişimleriyle test edilir. Bu katmanın güvenliği, kötü amaçlı trafiği tanımlama ve engelleme yeteneğiyle ölçülür. BAS çözümleri, ‘vahşi ortamda’ gözlemlenen kötü niyetli sızma girişimlerini simüle eder ve ağ katmanının gerçek hayattaki siber saldırılara karşı güvenlik duruşunu doğrular.
Ana Bilgisayar Katmanının Güvenlik Duruşunu Değerlendirme
Sunucular, iş istasyonları, masaüstü bilgisayarlar, dizüstü bilgisayarlar ve diğer uç noktalar gibi bireysel cihazlar, ana bilgisayar katmanındaki cihazların önemli bir bölümünü oluşturur. Bu cihazlar genellikle kötü amaçlı yazılım, güvenlik açığından yararlanma ve yanal hareket saldırılarıyla hedef alınır. BAS araçları, her cihazın güvenlik durumunu değerlendirebilir ve ana bilgisayar katmanı güvenlik kontrollerinin etkinliğini test edebilir.
Uygulama Katmanında Maruziyet Değerlendirmesi
Web siteleri ve e-posta hizmetleri gibi halka açık uygulamalar, genellikle bir kuruluşun altyapısının en kritik ancak en çok açığa çıkan kısımlarıdır. Bir WAF’ı veya zararsız görünen bir kimlik avı e-postasını atlayarak başlatılan siber saldırıların sayısız örneği vardır. Gelişmiş BAS platformları, uygulamadaki güvenlik kontrollerinin amaçlandığı gibi çalıştığından emin olmak için düşman eylemlerini taklit edebilir.
Verileri Fidye Yazılımlarına ve Sızmaya Karşı Koruma
Fidye yazılımlarının ve veri hırsızlığı saldırılarının yükselişi, kuruluşların kendi özel ve müşteri verilerini koruması gerektiğinin açık bir hatırlatıcısıdır. Veri katmanındaki DLP’ler ve erişim kontrolleri gibi güvenlik kontrolleri hassas bilgilerin güvenliğini sağlar. BAS çözümleri, bu koruma mekanizmalarını titizlikle test etmek için rakip teknikleri kopyalayabilir.
Derinlemesine Savunma Stratejisinin BAS ile Sürekli Doğrulanması
Tehdit ortamı geliştikçe bir kuruluşun güvenlik stratejisi de gelişmelidir. BAS, kuruluşların derinlemesine savunma yaklaşımlarının her katmanını değerlendirmeleri için sürekli ve proaktif bir yaklaşım sağlar. Gerçek hayattaki siber tehditlere karşı kanıtlanmış dayanıklılığı sayesinde güvenlik ekipleri, güvenlik kontrollerinin her türlü siber saldırıya dayanacağına güvenebilir.
Picus Security, 2013 yılında İhlal ve Saldırı Simülasyonu (BAS) teknolojisine öncülük etti ve o zamandan beri kuruluşların siber dayanıklılıklarını artırmalarına yardımcı oldu. Picus Güvenlik Doğrulama Platformu ile kuruluşunuz mevcut güvenlik kontrollerini en karmaşık siber saldırılara karşı bile güçlendirebilir. Ziyaret etmek picussecurity.com bir demo rezervasyonu yaptırmak veya kaynaklarımızı keşfetmek için “İhlal ve Saldırı Simülasyonu Çok Katmanlı Savunma Stratejisine Nasıl Uyuyor?” Beyaz kağıt.
Gelişen siber tehditlere ilişkin anlayışınızı geliştirmek için En İyi 10 MITRE ATT&CK tekniğini keşfedin ve derinlemesine savunma stratejinizi geliştirin. İndir Picus Kırmızı Raporu Bugün.
Not: Bu makale, siber tehditleri simüle etmenin ve savunmaları güçlendirmenin tutkumuz olduğu Picus Security Güvenlik Araştırma Lideri Hüseyin Can Yüceel tarafından yazılmıştır.